Un groupe de menaces soupçonné d'avoir des liens avec les opérations cybernétiques parrainées par l'État chinois, identifiée en tant que UNC5174, a lancé une cybercampagne furtive et techniquement avancée visant à Linux et macOS environnements.
Selon une nouvelle étude publié par Sysdig, le groupe utilise une forme révisée du malware SNOWLIGHT en combinaison avec un outil d'accès à distance open source nommé VShell.
Armes open source dans l'espionnage moderne
Les analystes de sécurité de Sysdig ont noté que l'UNC5174 déploie stratégiquement des utilitaires open source pour dissimuler ses opérations et réduire les frais généraux opérationnels.. En imitant le comportement de pirates informatiques indépendants ou de cybercriminels de niveau inférieur, le groupe augmente la difficulté d'attribuer une attribution directe.
Cette approche leur permet d’opérer dans un cadre plus large., écosystème plus bruyant, ce qui les rend plus difficiles à identifier et à suivre. Le rapport souligne également que l'UNC5174 n'avait pas été actif publiquement pendant plus d'un an avant que cette campagne ne refait surface..
Flux d'attaque et déploiement de logiciels malveillants
La campagne commence par l’exécution d’un script appelé download_backd.sh. Ce script installe deux composants clés: l'un est associé à une variante modifiée de SNOWLIGHT (DNSloger), et l'autre est lié à la boîte à outils de post-exploitation Sliver (travailleur_système). Ces éléments posent les bases d'un accès persistant et d'une communication avec un serveur de contrôle à distance.
SNOWLIGHT lance ensuite la livraison de VShell, un cheval de Troie résidant en mémoire, en le demandant à l'infrastructure de l'attaquant. La charge utile n'est jamais écrite sur le disque, lui permettant de contourner de nombreux mécanismes de détection traditionnels. Une fois activé, VShell donne aux attaquants la possibilité d'exécuter des commandes système, transférer des fichiers, et maintenir un accès à long terme via des canaux de communication secrets tels que les WebSockets.
Menace multiplateforme: macOS également ciblé
Bien que l’opération cible principalement les environnements Linux, les preuves suggèrent que la suite de logiciels malveillants est également capable de compromettre les systèmes macOS. En d'autres termes, cela semble être un malware multiplateforme opération.
Un exemple inclut une version de VShell qui a été déguisée en une application d'authentification de marque Cloudflare. Cette version malveillante a été téléchargée sur VirusTotal depuis la Chine fin 2024, indiquant la stratégie de ciblage plus large de la campagne et les composants d'ingénierie sociale.
UNC5174, également appelé dans certains rapports Uteus ou Uetus, a une histoire de exploiter les vulnérabilités logicielles largement utilisées. Campagnes passées documentées par Mandiant, une entreprise de cybersécurité appartenant à Google, impliqué dans le ciblage des failles dans Connectwise ScreenConnect et F5 BIG-IP. Ces opérations ont également utilisé SNOWLIGHT pour récupérer des logiciels malveillants supplémentaires tels que GOHEAVY, un outil de tunneling basé sur Golang, et GOREVERSE, un utilitaire de shell inversé basé sur SSH.
L'Agence nationale de sécurité des systèmes d'information (ANSSI) a mis en évidence un schéma similaire dans des attaques sans rapport exploitant des vulnérabilités dans le Cloud Service Appliance d'Ivanti.. Des vulnérabilités telles que CVE-2024-8963, CVE-2024-9380, et CVE-2024-8190 auraient été utilisés en conjonction avec des tactiques d'intrusion comparables à celles observées dans les opérations UNC5174. L'ANSSI a également constaté l'utilisation fréquente d'outils de piratage accessibles au public., y compris les rootkits, comme trait clé de ces campagnes.
De nouvelles activités de pirates informatiques chinois détectées dans la nature
Équipe T5, une société de recherche en cybersécurité basée à Taiwan, activité divulguée indépendamment ressemblant aux méthodes de l'UNC5174. D'après leurs conclusions, attaquants vulnérabilités Ivanti exploitées pour distribuer une nouvelle souche de malware appelée SPAWNCHIMERA. Ces incidents ont touché des cibles sur près de 20 pays, y compris les États-Unis, ROYAUME-UNI, Japon, Singapour, et les Pays-Bas, soulignant la large empreinte internationale de ces cyberopérations.
Cette campagne se déroule alors que les tensions entre la Chine et les États-Unis continuent de monter.. En Février 2025, Les autorités chinoises ont accusé les États-Unis. Agence de sécurité nationale (NSA) de mener des cyber-intrusions massives pendant les Jeux asiatiques d'hiver. Selon le Centre national chinois de réponse aux urgences en matière de virus informatiques (CVERC), plus de 170,000 les attaques ont été attribuées aux États-Unis. pendant une fenêtre de 20 jours, avec des incursions supplémentaires attribuées à d'autres nations, dont l'Allemagne, Corée du Sud, et Singapour.
Les responsables chinois ont exprimé une ferme condamnation, affirmant que les attaques ont mis en danger des secteurs d'infrastructure clés tels que la finance, la défense, et les communications publiques. Le ministère des Affaires étrangères a averti que les intrusions risquaient également de compromettre les données personnelles des citoyens chinois et l'intégrité des systèmes nationaux..
pensées conclusives
Les chercheurs de Sysdig soulignent que ce cas souligne la manière dont les acteurs de menaces avancées exploitent de plus en plus les outils open source pour masquer leurs affiliations.. Des outils comme VShell et SNOWLIGHT sont disponibles gratuitement et largement utilisés, permettant aux attaquants d'exécuter des campagnes sophistiquées sous le couvert d'une activité cybercriminelle ordinaire. Le résultat est une menace très évasive qui allie furtivité, flexibilité, et déni plausible.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: